ISA 2004 не хочет дружить с cisco 851 через IPsec
 

Имеем
Cisco 851 и isa 2004 (ИМХО косяк в исе)
Туннель. Работает с циски пингую локальный адрес ISA, но не пингую дальше. Из сети за циско не пингую вообще ничего.
Из сети за ISA пинги не идут, а с сервака на котором стоит ISA дело обстоит так:
Код
Превышен интервал ожидания для запроса.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
.......
Согласование используемого уровня безопастности IP.



Кто нить сталкивался?

Статус туннеля в циске гласит что тунель is OK.

Что может значяить это согласование

Gudy,

1) Есть схема сети - есть предметный разговор

2 Ознакомтесь с нашим типовым опросником
http://forum.oszone.net/announcement-31-75.html

Вот схема.
Нарисовал как умею, если понятно перерисую.
Итак излагаю.

Делаю туннель от Cisco до ISA.
Далее имеем:

Из сети 10.0.0.0 /24 Пингую только ISA, и НЕ пингую НИЧЕГО за ней.

Из сети 192.168.168.0/24 Не пингую сеть 10.0.0.0/24

С ISA "пингую" только 10.0.0.1 (Cisco) но при это получаю:


Заранее спасибо.

Gudy,
ipconfig /all для сервера с ISA приведите

show run
для cisco приведите

Пингуются ли подсети, т.е. с клиента одной подсети пустить пинг на клиент другой подсети
а. если пинг идет. Значит в настройках ИСЫ нужно в ВПН тунеле указать оба адресных пространства для удаленной сети, например:
-192.168.0.0 192.168.0.255
-87.87.87.87 87.87.87.87
б. если пинг не идет, значит не верно указаны настройки протоколов для VPN

Cisco:

crypto isakmp policy 1
authentication pre-share
group 2
lifetime 28800
crypto isakmp key КЛЮЧЕВОЕ СЛОВО address ВНЕШНИЙ АДРЕС ISA no-xauth
!
crypto ipsec transform-set set1 esp-3des esp-sha-hmac
mode transport
!
crypto map map1 1 ipsec-isakmp
description test tunnel
set peer ВНЕШНИЙ АДРЕС ISA
set transform-set set1
match address 144
!
interface FastEthernet4
.....
crypto map map1
!
access-list 144 permit ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255
!
!чтобы трафик адресованный в тонель не натился:
!
access-list 115 permit ip 10.0.0.0 0.0.0.255 any
access-list 115 deny ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255
route-map mainroute permit 1
match ip address 115


Теперь с ISA
Vpn>>Remote Site>>Add

Genrela:
имя: test1
Address:
start address: 10.0.0.1
end address: 10.0.0.255
Connection:
remote gateway
Внешний адрес cisco

local gateway
Внутренний адрес ISA

аутентификация pre-share



IpSec Summary:

Local Tunnel Endpoint: 192.168.0.167
Remote Tunnel Endpoint: 89.*.*.67 (внешний циски)

To allow HTTP proxy or NAT traffic to the remote site,
the remote site configuration must contain the local
site tunnel end-point IP address.

IKE Phase I Parameters:
Mode: Main mode
Encryption: 3DES
Integrity: SHA1
Diffie-Hellman group: Group 2 (1024 bit)
Authentication method: Pre-shared secret (СЛОВО)
Security Association lifetime: 28800 seconds

IKE Phase II Parameters:
Mode: ESP tunnel mode
Encryption: 3DES
Integrity: SHA1
Perfect Forward Secrecy: ON
Diffie-Hellman group: Group 2 (1024 bit)
Time rekeying: OFF
Kbyte rekeying: OFF

Remote Network 'plg' IP Subnets:
Subnet: 10.0.0.0/255.255.255.0

Local Network 'Internal' IP Subnets:
Subnet: 192.168.0.0/255.255.255.0

Local Network 'VPN Clients' IP Subnets:
Subnet: 192.168.1.220/255.255.255.255
Subnet: 192.168.1.216/255.255.255.252
Subnet: 192.168.1.200/255.255.255.248
Subnet: 192.168.1.208/255.255.255.248


Далее в NetWorks
Делаю роутинг между удалённой сеткой и локальной (между 10,0,0,0/24 и 192,168,0,0/24)


Не пашет.
Вообще не пашет. никак не пашет.

Gudy,
Вы понимаете что для нормальной работы у вас должна функционировать маршрутизация на обоих гейтах?

Т. е.
- на cisco должен быть маршрут типа 192.168.168.0 255.255.255.0 _виртуальный_интерфейс_ISA
- на ISA должен быть маршрут 10.0.00 mask 255.255.255.0 _виртуальный_интерфейс_cisco

-----------------------------
еще раз повторяю
ipconfig /all для сервера с ISA приведите
route print для сервера с ISA приведите

show run - для cisco приведите
-------------

Меня интересуют:
- виртуальные интерфейсы внутри тунеля
- таблица маршрутизации

т.к. судя по
у Вас все нормально с тунелем - он поднялся ,и вопрос только настроить маршрутизацию

ЗЫ. Проверка правильности маршрутизации такова.
Как только ISA пропингует (лучше использовать tracert) интерфейс Cisco в локальной сети, а cisco, в свою очередь пропингует интерфейс ISA в ее локальной сети - то все заработало.
Единственное на клиентах могут быть не прописаны шлюзы по умолчанию или прописаны не те.

Да, понимаю.
А можно на ты?

Сейчас уже вообще не работает, в попытках его перенастроить я его совсем опракинул.

Я наверно даже перефразирую вопрос свой:
Кто нить может мне объяснить как это делается? Между Cisco И Cisco я туннели уже поднимал и поднимать умею, но вот между циской и ИСой не получается, хотя бы потому что я не могу создать в исе виртуальный интерфейс.

Наверно я туплю есть где нить мануал?



C:\Documents and Settings\Administrator>route print

IPv4 таблица маршрута
===========================================================================

===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 89.xx.xx.1 89.xx.xx.66 20
89.xx.xx.0 255.255.255.0 89.xx.xx.66 89.xx.xx.66 20
89.xx.xx.66 255.255.255.255 127.0.0.1 127.0.0.1 20
89.255.255.255 255.255.255.255 89.xx.xx.66 89.xx.xx.66 20
90.154.0.196 255.255.255.255 89.xx.xx.1 89.xx.xx.66 20
91.76.226.240 255.255.255.255 89.xx.xx.1 89.xx.xx.66 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.167 192.168.0.167 20
192.168.0.16 255.255.255.255 192.168.0.22 192.168.0.22 1
192.168.0.17 255.255.255.255 192.168.0.22 192.168.0.22 1
192.168.0.18 255.255.255.255 192.168.0.22 192.168.0.22 1
192.168.0.19 255.255.255.255 192.168.0.22 192.168.0.22 1
192.168.0.22 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.0.167 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.167 192.168.0.167 20
213.171.43.155 255.255.255.255 89.xx.xx.1 89.xx.xx.66 20
224.0.0.0 240.0.0.0 89.xx.xx.66 89.xx.xx.66 20
224.0.0.0 240.0.0.0 192.168.0.167 192.168.0.167 20
255.255.255.255 255.255.255.255 89.xx.xx.66 89.xx.xx.66 1
255.255.255.255 255.255.255.255 192.168.0.167 192.168.0.167 1
Основной шлюз: 89.xx.xx.1
===========================================================================
Постоянные маршруты:
Отсутствует








C:\Documents and Settings\Administrator>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : **********
Основной DNS-суффикс . . . . . . : ****.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да
Порядок просмотра суффиксов DNS . : ****.local

LAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
Физический адрес. . . . . . . . . : 80-0D-67-90-58-FD
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.167
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.0.1
192.168.0.2

WAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC #2
Физический адрес. . . . . . . . . : 00-B0-48-F7-5D-28
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 89.xx.xx.66
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 89.xx.xx.1
DNS-серверы . . . . . . . . . . . : 89.xx.xx.254
89.xx.xx.254
NetBIOS через TCP/IP. . . . . . . : отключен

Интерфейс RAS-сервера - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-a0-80-20
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.22
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . :

1)
Это не оно?

VPN интерфейс должен быть PPP-по идее.


2) Я ISA-не пользовался, ибо извращение это.

может ему требуется запущенная служба Маршрутизации и RAS?

Для cisco список активных интерфейсов приведи

show int

если мне память не изменяет

На самом деле это и правда странный интерфейс.
Его нету негде, но у него странная маска.




router#show interfaces
FastEthernet0 is up, line protocol is up
Hardware is Fast Ethernet, address is 0017.94f2.b539 (bia 0017.94f2.b539)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s
ARP type: ARPA, ARP Timeout 04:00:00
Last input 1w0d, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 12000 bits/sec, 9 packets/sec
5 minute output rate 62000 bits/sec, 13 packets/sec
7238953 packets input, 1853133011 bytes, 0 no buffer
Received 152656 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 input packets with dribble condition detected
7131350 packets output, 3831338997 bytes, 0 underruns
0 output errors, 0 collisions, 2 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
FastEthernet1 is up, line protocol is down
Hardware is Fast Ethernet, address is 0017.94f2.b53a (bia 0017.94f2.b53a)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Auto-duplex, Auto-speed
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 input packets with dribble condition detected
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 2 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
FastEthernet2 is up, line protocol is down
Hardware is Fast Ethernet, address is 0017.94f2.b53b (bia 0017.94f2.b53b)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Auto-duplex, Auto-speed
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 input packets with dribble condition detected
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 2 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
FastEthernet3 is up, line protocol is down
Hardware is Fast Ethernet, address is 0017.94f2.b53c (bia 0017.94f2.b53c)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Auto-duplex, Auto-speed
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 input packets with dribble condition detected
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 2 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
FastEthernet4 is up, line protocol is up
Hardware is PQUICC_FEC, address is 0017.94f2.b543 (bia 0017.94f2.b543)
Internet address is 89.xx.xx.67/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:02, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/39/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 57000 bits/sec, 8 packets/sec
5 minute output rate 8000 bits/sec, 7 packets/sec
7210773 packets input, 3803601989 bytes
Received 410213 broadcasts, 0 runts, 0 giants, 38 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
7082208 packets output, 1784932403 bytes, 0 underruns
0 output errors, 0 collisions, 3 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
Vlan1 is up, line protocol is up
Hardware is EtherSVI, address is 0017.94f2.b539 (bia 0017.94f2.b539)
Internet address is 10.0.0.1/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 10000 bits/sec, 11 packets/sec
5 minute output rate 56000 bits/sec, 11 packets/sec
7238494 packets input, 1824091161 bytes, 0 no buffer
Received 153404 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
6810700 packets output, 3769792535 bytes, 0 underruns
0 output errors, 1 interface resets
0 output buffer failures, 0 output buffers swapped out
NVI0 is up, line protocol is up
Hardware is NVI
MTU 1514 bytes, BW 10000000 Kbit, DLY 0 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation UNKNOWN, loopback not set
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out

Блин, нормальная у него маска.
Это же соединение точка-точка.
У всех PPP соединений такая маска.


NVI0 is up, line protocol is up
Hardware is NVI
MTU 1514 bytes, BW 10000000 Kbit, DLY 0 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation UNKNOWN, loopback not set
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out

Судя по всему, это оно.
Настройте инкапсуляцию интерфейса в PPP и присвойте ему IP

чего-то ты действительно намудрил.
В прошлом снимке ISA у тебя локальный IP виртуального интерфейса объявлен как
192.168.0.167

------------------------

в ipconfig /all же фигурирует
192.168.0.22

в ipconfig фигурируют оба.
Однако 0.22 не присвоен не одному физическому адаптеру и алиасом не привязан.
Это не оно =)
я даже зайти на него не могу.
Более того
roter#(config)#interface virtual-ppp 1
roter#(config-if)#ip
roter#(config-if)#ip add
roter#(config-if)#ip address 192.168.0.253 255.255.255.255
Bad mask /32 for address 192.168.0.253

выяснил 0.22 используется RRAS'ом.

У тебя еще последовательные соединения есть, - коммутируемые? Dial-UP например?
Если нет, то данный интерфейс обслуживает таки твой VPN.

Просто в старых версиях Windows (WinNT, 2000)
RRAS занимался и VPN соединениями.
По крайней мере все PPTP отрабатывал он.
Опять же маршрутизировать тоже он будет, следовательно пока он виртуальный интерфейс не увидит - фиг вам, а не связь.

Не вижу "оба". Обоснуйте.

это вин2к3
интерфейс 0,22 в нём значится как "внутренний".
Соединения ещё есть, сотрудники во вторичном офиси цепляются к этому посредствам ППТП.
Теперь вот что бы изабить их от этого необходимо поднять туннель. Вот такая вот заморочка.

Gudy,
Все равно не вижу еще одного виртуального интерфейса.

Что я вижу:

LAN - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
Физический адрес. . . . . . . . . : 80-0D-67-90-58-FD

Это внутренняя сеть
--------------------------------------
WAN - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC #2
Физический адрес. . . . . . . . . : 00-B0-48-F7-5D-28

Это внешняя сеть
--------------------------------------
Интерфейс RAS-сервера - PPP адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-a0-80-20

Это старый виртуальный интерфейс PPTP

-------------------------------------

Иде второй виртуальный, или четвертый по счету интерфейс для вновь созданного VPN канала?

Gudy,

Слушай, а может тебе проще RRAS-ом к Cisco прицепиться?
Какая тебе разница PPTP или IPSec?

мне вот эта настройка в ISA непонятна

Т. е. по идее, должны быть или два внутренних адреса или два внешних.

Такую конфигурацию которая заявлена (на экране) я использовал лишь раз.
Но тогда перед VPN-сервером стоял еще один гейт с NAT, т.е. VPN-шлюз НЕ ОБЛАДАЛ собственным реальным IP и его порты выводились наружу при помощи IP-mappinga.

Можно и так, но при этом вопрос КАК не пропадает :)
Это уже поменял.


IpSec Summary:
Local Tunnel Endpoint: 89.*.*.66
Remote Tunnel Endpoint: 89.*.*.67 (внешний циски) »

Gudy,

Я не знаю, представляете ли вы функционирование IPSec, и создание тунелей.
Если знаете- извиняйте.
Но я на всякий случай приведу информацию.

1) IPSec не является ни средством VPN, ни создания тунелей.
IPSec является стандартной частью протокола IPv6 прикрученной к IPv4.
Его единственная и основная задача это шифрование трафика хост-хост (IP to IP) или всего подряд
или выборочно какого-либо транспорта (OSI 4), это уж как настроено.
IPSec не управляет (не подменяет) адресными полями в IP пакете, т.е. не обладает ни средствами NAT, ни инкапсуляции.

Первоначальная задача (для чего разрабатывался) - безопасное соединение серверов на 3-м уровне,
.т.е. дабы снять проблему шифрации с верхних служб OSI.
Опять же нет вечного геморроя с кучей сертификатов, ключей и паролей, причем для каждой службы (читай ПО) сертификаты обычно свои.
В сети возможно безопасное использование служб передающих пароли открытым текстом скажем telnet, pop3 (классический).
Шифрация не оказывает заметного влияния на скорость передачи, т. е. в данном случае возможно использование аппаратного акселератора или просто положится на мощность процессора.
При более высокоуровневых решениях криптографии, скорость передачи данных "съедают" и многочисленные пересылки информации с одного уровня OSI на другой, т.е. от одного драйвера к другому.


2) Тунелирование в среде IP.

тунелированием в среде IP занимается протокол "IP over IP" т. е. транспортируется 3й уровень OSI,
в пакетах опять же 3-го уровня OSI (что отличает его скажет от PPTP).

Заведует этим делом протокол
4 IP IP in IP (encapsulation) [RFC2003]
(см http://wiki.oszone.net/index.php/IPv4)

Т. е. выглядит это так:

- На каждой стороне общения создается виртуальный интерфейс, который обладает всеми правами и обязанностями стандартного интерфейса
- Весь трафик "идущий" в тунеле распковывается и запаковывается соответствующими службами, т.е. обычно сетевыс стеком OC.
- Сетевые службы и служба маршрутизации, в том числе, считают что гейт-партнер, связанный тунелем, это соседний (физичиски соединенный) маршрутизатор.
- настраивается маршрутизация на обоих гейтах.

Единственное НО, это то что трафик ничем не шифруется, а просто инкапсулируется, т.е. при наличии соответствующих навыков его легко просмотреть, скажем tcpdump

3) Задача IPSec тупо шифровать весь инкапсулированный трафик от "ворогов"
Или весь протокол 4, или "Виртуальный интерфейс1" <-> "Виртуальный интерфейс 2"

Почему данный вид туннелирования обозвали IPSec - мне лично не ведомо (маркетологи х%евы).

4) Это я описал что позволяет стандарт в полном объеме.
А вот что из этого реализовала MS или как она назвала эти функции в своей документации - я не знаю

5) Предлагаю скачать и прочесть UserGude по cisco.
С вероятностью 99% там есть типовая схема задействованная вами.

Нашёл вот то:
http://www.microsoft.com/technet/isa.../ipsecvpn.mspx

(не сочтите за рекламу.)
Сейчас читаю, если получится отпишусь о результатах.

Ну это врядли.
Скрытой рекламы Microsoft или Cisco я еще не припомню :)

Тема всё ещё актуальна.

Вам сказали читайте UserGuide именно для вашей модели.

В PIX вы готовых ответов не найдете. Там совсем другая архитектура и другое ПО-управления чем в маршрутизаторах.

Ситуация такая:
Activity Status
Checking the tunnel status... Up
Encapsulation :0
Decapsulation :14556
Send Error :0
Received Error :0



Troubleshooting Results
Failure Reason(s) Recommended Action(s)
A ping with data size of this VPN interface MTU size and 'Do not Fragment' bit set to the other end VPN device is failing. This may happen if there is a lesser MTU network which drops the 'Do not fragment' packets. 1)Contact your ISP/Administrator to resolve this issue. 2)Issue the command 'crypto ipsec df-bit clear' under the VPN interface to avoid packets drop due to fragmentation.

Это пишет Циска

Пинги между сетями не ходят, с ИСЫ пишет "соглосование используемого уровня безопастности ИП".
При это туннель в мониторинге исы работает.

1) cisco предполагает что возможно, на интерфейсах установлены разные размеры MTU, и
- просит согласовать их.
- просит отработать команду crypto ipsec df-bit clear

2) ISA хоть какие либо логи пишет? В системных логах или логах безопасности что-либо есть?

Чего-то нет на сайте cisco ничего про ISA - не любят они MS видно.

Может Вам просто VPN-клиентов поставить.

Я еще посмотрю на взаимодействие с RRAS

может вам этот документ поможет
site-to-site VPN
http://www.cisco.com/en/US/products/...080656460.html

с MTU трабл я решил, действительно косяк был в разных MTU.
Теперь дело обстоит так:


Test Activity Details
Activity Status
Checking the tunnel status... Up
Encapsulation :0
Decapsulation :46
Send Error :0
Received Error :0



Troubleshooting Results
Failure Reason(s) Recommended Action(s)

Смущает то что трафик не инкапсулируется.


в Логах на ИСЕ

Это не логи, а текущие соединения, если я правильно понимаю.

Посмотрите системные логи и логи безопасности Windows.

Виртуальный Интерфейс в ipconfig /all - появился?